NSA顶级后门遭中国研究员曝光

2022-02-24 16:19曹思琦范凌志
环球时报 2022-02-24
关键词:争光盘古后门

本报记者 曹思琦 范凌志

《环球时报》记者23日从北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”)独家获得一份报告,该报告解密了来自美国的后门——“电幕行动(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区的287个重要机构目标。该报告是中国研究员首次公开曝光来自美国“方程式”组织高级可持续威胁攻击,简称APT,的完整技术证据链条。

“顶级后门”覆盖所有操作系统:善隐藏、自毁灭、难追踪

后门是网络世界中常见的高级持续性威胁之一,指绕过安全控制获取对网络系统访问权的方式,是网络病毒的一种。盘古实验室创始人韩争光告诉《环球时报》记者,相较一般的APT攻击手段,Bvp47堪称顶级后门程序,具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,搭配超级零日漏洞,又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞),可以让“方程式”组织在网络空间里畅通先阻,隐秘控制下的数据获取如探囊取物,在国家级的网络安全对抗中处于绝对的主导地位。

韩争光表示,其带领的研究团队早在2013年便提取到“电幕行动”后门程序。当时,他们在国内某受害者的主机里调查取证时发现了“电幕”攻击,技术人员将后门相应的恶意代码命名为Bvp47,由后门样本中常见的字符串Bvp及加密算法中的使用数值0x47组合而成,“相较一般攻击手段,电幕后门结构复杂、架构灵活、适配性强,且能够对抗高强度的分析取证,对全球网络安全带来极大挑战”。

技术分析显示,“电幕”后门可以攻击包括多数Linux发行版、AIX、Solaris、SUN等在内所有操作系统,一其高超的代码混淆、隐蔽通信、自毁设计前所未见,体现出高超的技术性、针对性和前瞻性,入侵成功后便于黑客组织长期控制受害组织,“这个后门最厉害的地方是极其隐蔽"受侵害的对象还没有意识到危险时,信息就已经泄露,此后很难查到踪迹。”韩争光说。

研究人员对《环球时报》记者透露,据他们掌握的情况,中国至少有64个目标受到入侵。

与斯诺登“棱镜门”高度关联,一矛头直指NSA

盘古实验室团队提供的技术证据显示,上述后门源自美国黑客组织——“方程式,“方程式”是世界超一流的网络攻击组织,普遍被认为隶属于NSA。

2013年,爱德华•斯诺登泄露了ANA网络攻击平台操作手册,操作手册中包含一段用于攻击操作的唯一标识符代码ace02468bdf13579”。

2017年,知名黑客组织“影子经纪人公布了美国“方程式”攻击工具中的多个程序和攻击操作手册,与斯诺登泄露的唯一标识符代码完全一致,由此可证实“方程式”组织攻击工具属于NSA。

盘古实验室成员经过长期追踪分析发现,2013年提取到的Bvp47隐蔽后门,必须使用RSA非对称加密私钥激活,这一加密私钥存在于“影子经纪人”泄露的“方程式”组织黑客工具tipoff-BIN中。

使用tipoff-BIN可以直接远程激活B?PBS并控制入侵组织网络,而RSA非对称加密私钥是不可被第三方伪造的。因此,确定Bvp47是“方程式”,组织创造的后门,属于美国NSA。

肆虐全球十余年,窥视重要机构信息

“经过近十年的跟踪研究,我们终于闭合了这一后门入侵全球的完整证据链。”韩争光对记者表示:“电幕存在的时间可能已经接近20年。”

盘古实验室的技术团队将这一持续肆虐全球的APT攻击行动命名为“电幕行劫”电幕是英国作家乔治•奥威尔在汰说《一九八四》中想象的一个设备,可以用来远程监控部署了“电幕”的人或组织,“思想警察”可以'随意监视任意“电幕”的信息和行为。

“后门让黑客能够窥视一个机构的内部网络系统,就像给攻击对象安装了'电幕,一切秘密尽在掌握。”韩争光说。研究人员透露,“电幕行动”已肆虐十余年,不断迭代其攻击能力。在我国,该后门主要分布于通行通信的基础核心数据部门、知名大学及军工相关单位。

在全球,“电幕行动”已侵害超过45个国家和地区的287个目标,包括俄罗斯、日本、西班牙、德国、意大利等,其中日本作为受害者,还被利用为助&板对其他国家目标发起攻击,被攻击的机构包括知名高校、科研机构、通信行业、政府部门等。

韩争光认为,“电幕行动”长期入侵全球重要机构的网络系统,窃取大量重要信息,危害非同凡响。“窥视到受害者内幕情报之后,黑客能够更有针对性地实施攻击,后果不堪设想。”

相关研究人员告诉《环球时报》记者,这种后门搭配0day漏洞,发起一个隐蔽的敲门syn包就能入侵,整个发起过程受害者无感知,“这种顶级后门靠办公操作层面的安全规范很难防范,需要建设一体化的网络安全防御系统。”

“电幕行动”不是美国第一个大规模的网络攻击行动,也不会是最后一个。研究人员表示,目前全球的APT攻击日益频繁,侵犯范围更广、危害性和隐蔽性更强。

中国是全球受到APT攻击最多的国家之一。世界各国政府及产业链携手合作,才能有效应对威胁、捍卫网络安全。”韩争光对《环球时报》记著表示,未来该机构将持续进行攻防演练、继续跟踪Bvp47网络入侵情况以及其他各种类型的APT攻击,以技术能力守卫网络净土。▲

猜你喜欢
争光盘古后门
盘古开天辟地
盘古
盘古
杨争光的“光”
不要理他
杨争光称阅读使生活更有诗意
这个班还不错
没睡醒
我心目中的吴天明
考驾照